1回答

ooyeah3491761

2018-06-14

已采纳

因为传递过来的user可能带有恶意参数，例如user.role = 0，这样这个用户就会变成一个管理员，导致纵向越权。

当然，你也可以将传递过来的user通过setRole(1)保证他是普通用户。

这只是一种情况，实际中可能还有其它不应该被修改的字段。

总结来说，直接用传递过来的user进行操作保存时可以的，但是要非常小心，确保不会修改我们不想修改的信息。

而new 一个user虽然相对麻烦一点，但是能确保要修改的信息我们是清楚的。

7

2

Geely

同学回答的很赞，还有一个原因是因为我们使用的update的mybatis语句，里面是根据是否为null进行更新的。因为其他字段没更新，所以不需要拼接在sql里，来减少sql压力。只更新需要更新的字段。

2018-06-17

共2条回复